共享TOTP身份验证二维码的最佳方式

Question

我目前正在开发一个基于服务器的TOTP实现，以便通过使用OTP代码来加强用户的身份验证。但我想知道如何第一次与最终用户共享二维码(或密钥)？当然，电子邮件不是更好的选择，但由于我不会与最终用户进行身体接触，因此很难以另一种方式共享二维码…

另一个与TOTP相关的问题是，如果最终用户丢失了生成其代码的移动电话，我是否允许最终用户生成新的二维码？但在这种情况下，我如何分享它呢？(实际上这是同一个问题……)

Answer 1

如果你真的想保护你的服务器安全，你不应该通过任何方式分享QR Code / OTP设置代码，但这并不是很有用。

一种选择是在用户登录时禁用两个因素，然后重新启用并让用户对其进行设置-这是最安全的方式，但不太容易管理。

另一种选择是通过安全消息传递协议与用户共享二维码，然后要求用户重置其密码并重新设置两个因素。

您的服务器上运行的是什么操作系统，这是用于SSH访问的吗？

Answer 2

如果您需要向用户提供二维码，您可以使用一个外部可访问的门户，但该门户本身受您正在提供的因素以外的因素的保护。